ウイルス情報

ウイルス名 危険度

W32/Yanz.b@MM

企業ユーザ: 低
個人ユーザ: 低
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4410
対応定義ファイル
(現在必要とされるバージョン)
4410 (現在7628)
対応エンジン 4.3.20以降 (現在5600) 
エンジンバージョンの見分け方
情報掲載日 2004/11/24
発見日(米国日付) 2004/11/22
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・W32/Yanz.b@MMはMSVCで作成され、出力メッセージを作成するSMTPエンジンが組み込まれた大量メール送信型ワームです。

・W32/Yanz.b@MMは、以下のような電子メールメッセージで届きます。

差出人:(擬装)

・差出人のアドレスは、その差出人が感染していることを示しているわけではありません。さらに、実際には感染していないのに、自身が感染していることを警告するメッセージがメールサーバから届く場合もあります。

件名:(一例は以下のとおり)
  • World_Tour_Sun_YanZi
  • Sun_Yanzi_Mp3
  • Huai_Tian_Qi
  • Forever Sun Yanzi
  • SuN_YanZi_innocent
  • I_hate_Spyware
  • Sun-YanZi-Mp3-Archive
  • Sun_YanZi_Hayrani
  • Hoscakal
  • Stefanie Sun Yanzi
  • Sun_Yan_Zi
  • Sun-YanZi
  • Asia_Singer
  • Sun_YanZi_HayranI
  • Sun_YanZi
本文:(一例は以下のとおり)
  • Please listen to me Stefanie Sun Yanzi.
  • I can not contact you. Because, I am far to you(Turkiye)
  • I want to see Sun YanZi. Call me Sun Yan Zi ;)
  • My Favourite Singer is Stefanie Sun Yanzi
  • I want to meet Sun YanZi. I am loving Sun-YanZi's Magic. Call me YanZi. But you don't contact me(Turkiye).
  • You must to listen Sun Yanzi. I am enjoying to listen Sun YanZi.
添付ファイル:
  • Sun_Yan_Zi-Shen_Qi.mp3.pif
  • Sun_YanZI.zip
  • Dong_Shi.exe
  • Yanzi.htm

・ターゲットマシンから送信する電子メールアドレスを収集します。具体的には、以下の拡張子を持つファイルを検索します。

  • dbx
  • adb
  • asp
  • jsp
  • rtf
  • doc
  • xml
  • txt
  • htm
  • html

・ただし、以下の文字列を含む電子メールアドレスには自身を送信しません。

  • @milliyet
  • @ntvmsnbc
  • @hurriyetim
  • @posta
  • @aksam
  • @sabah
  • @erdemironline
  • @erdemir
  • @e-kolay
  • @dostmail
  • @mynet
  • @superonline

・W32/Yanz.b@MMが(手動)で実行されると、NVCPL.EXEというファイル名でWindowsのシステムディレクトリに自身をコピーします。

  • %SysDir% \NVCPL.EXE
(%Sysdir%は、Windowsのシステムディレクトリ。例:C:\WINDOWS\SYSTEM)

・以下のレジストリ項目を作成し、Windows起動時にフックします。

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "NvCpl" = %SysDir% \NVCPL.EXE
ピアツーピアを介した繁殖

・W32/Yanz.b@MMはターゲットマシン上の「SHAR」という文字列を含むフォルダに自身をコピーします。その際、以下のようなユーザの注意を引くようなファイル名を使用します。

  • Sun_YanZi-Mei_You_Ren_De_Fang_Xiang.avi.exe
  • Sun_YanZi-Huai_Tian_Qi.mpg.exe
  • Sun_YanZi-Tao_Wang.mpeg.exe
  • Sun_YanZi-Shen_Qi.exe
  • Sun_YanZi-I_am_not_sad.mp3.exe
  • Sun_YanZi-Leave_me_alone.mp3.exe
  • YanZi_SuN-forever.mp3.exe
  • YanZi.Mp3.exe
  • SunYanZi.mp3.exe

・このウイルスは、現在のDATSではVBS/Inorと検出されるVBSスクリプトをドロップ(作成)します。このVBSスクリプトは、有名なアジアのポップスターのイメージファイルを感染マシンのTEMPフォルダにドロップします。このスクリプトは、ドロップすると即座にこのJPEGファイルを実行するコードを含んでいます。以下に二つのイメージファイルを示します。



TOPへ戻る

以下の症状が見られる場合、このウイルスに感染している可能性があります。

  • W32/Yanz.b@MMを実行すると、以下のようなダイアログが表示されます。
  • 上記のファイルおよびレジストリ項目が存在します。

TOPへ戻る

感染方法

  • W32/Yanz.b@MMは電子メールを介して繁殖します。
  • ターゲットマシン上の「SHAR」という文字列を含むフォルダに自身をコピーします。

TOPへ戻る

駆除方法

このウイルスには、4410定義ファイルで対応いたします。4410定義ファイルは04/11/25に発行の予定です。それまでの間、このウイルスに対応するためにはβ版ウイルス定義ファイルをお使いください。

Windows ME/XPでの駆除についての補足

TOPへ戻る